Cyberprzestępcy wykradli dane klientów firmy EuroCert, która m.in. świadczy usługi związane z podpisem zaufanym. W jaki sposób doszło do ataku, które dane wyciekły i co można zrobić, aby ochronić się przed skutkami?
Cyberprzestępcy zaatakowali EuroCert
EuroCert to firma oferująca kwalifikowane usługi zaufania. Przykładem takiej usługi jest podpis zaufany, dzięki któremu możliwe jest poświadczanie dokumentów zdalnie, bez potrzeby ręcznego podpisywania się. Firma poinformowała, że w dniu 12 stycznia w godzinach nocnych doszło do ataku hakerskiego (ransomware), który – jak możemy przeczytać w oświadczeniu, doprowadził do naruszenia ochrony danych osobowych poprzez atak złośliwego oprogramowania szyfrującego pliki przechowywane na serwerach. Spowodował on naruszenie ochrony danych osobowych, a także utratę dostępności i poufności danych gromadzonych przez EuroCert.
Naruszenie bezpieczeństwa samych certyfikatów kwalifikowanych nie zostało odnotowane. Fizyczne certyfikaty, będące w rękach ich właścicieli, są chronione kodem PIN, natomiast w przypadku certyfikatów chmurowych zresetowano hasła – użytkownik musi nadać nowe przed zalogowaniem się i uwierzytelnić je za pomocą kodu otrzymanego przez telefon komórkowy.
EuroCert zaznaczył, że od razu po wykryciu zaistniałej sytuacji podjęto niezbędne działania, aby dalsze naruszenia nie były możliwe. Sprawą zajęły się organy ścigania, instytucje zajmujące się cyberbezpieczeństwem, Policja i CERT Polska. EuroCert nadal stara się, aby skutki wycieków były jak najmniejsze oraz pracuje nad przywróceniem pełnej funkcjonalności systemu.
Które dane osobowe mogły wyciec po ataku na EuroCert i jakie mogą być tego konsekwencje?
Jak wynika z komunikatu EuroCert, wśród danych, które mogły wyciec podczas ataku, znalazły się dane identyfikacyjne, kontaktowe (adres e-mail i numer telefonu), numer PESEL, imiona i nazwiska, data urodzenia, seria i numer dowodu, nazwa i hasło użytkownika oraz wizerunek.
W komunikacie firmy znalazła się obszerna lista potencjalnych konsekwencji w związku z naruszeniem danych osobowych. Znajdziemy tam m.in.:
- ryzyko przetwarzania danych w celach marketingowych,
- publikacja i ujawnianie danych,
- zagrożenie nękaniem, szantażem,
- ataki phishingowe,
- powstawanie kont w mediach społecznościowych na wykradzione dane,
- próba wzięcia pożyczki, wyłudzenia ubezpieczenia czy zawierania umów cywilno-prawnych,
- próba uzyskania dostępu do systemów świadczących usługi medyczne,
- próby skorzystania z praw obywatelskich (np. w głosowaniach),
- rejestracja numeru telefonu w celach przestępczych.
Aby zminimalizować skutki zaistniałej sytuacji warto podjąć kilka ważnych kroków. EuroCert zaleca:
- zastrzeżenie numeru PESEL,
- założenie konta w systemie informacji kredytowej i gospodarczej, aby monitorować swoją aktywność kredytową,
- zmianę loginu i hasła do systemów, w których używano numeru PESEL,
- włączenie dodatkowych zabezpieczeń w serwisach (weryfikacja dwuetapowa),
- kontrolowanie prób logowania i sprawdzanie alertów otrzymywanych mailowo,
- zachowanie ostrożności podczas kontaktów ze strony banku, instytucji czy poprzez media społecznościowe,
- w przypadku wykrycia podszywania się powiadomienie służb.
Bezpieczeństwo Twoich danych możesz sprawdzić na stronie internetowej.
